イーサにおけるプライバシー - ステルスアドレス

ソース：Denchainコミュニティ

はじめに

Web3の暗号化ユーザーが直面している主な問題の1つは、プライバシーの欠如です。height:=""align="">はじめに

Web3暗号ユーザーが直面する主な苦痛の1つは、プライバシーの欠如です。すべてのトランザクションが公開台帳上で可視化され、はっきりと見えるENS名とますます関連付けられるという事実は、ユーザーに特定の活動を行うインセンティブを欠かせたり、ユーザーエクスペリエンスの摩擦を増大させるような方法で活動を行わせたりします。この例として、ホットウォレットからコールドウォレットへの単純な資金移動、またはその逆が挙げられます。ユーザーはコールドウォレットの残高を見せたくないため、あるウォレットを他のウォレットに接続させたくないかもしれません。現在、イーサアドレスはプライベートな銀行口座のようには機能しません。なぜなら、誰もがあなたのウォレットを見ることができ、ますますあなたのソーシャル活動（SBT、プルーフ、様々なDappsでの活動など）も見られるようになるからです。このため、Vitalik氏はプライバシーを一般ユーザーにとって有用なものにするためにイーサが受ける必要がある3つの大きな技術的変革の1つと呼んでいます。

トルネードキャッシュのような既存のプライバシーソリューションを使用することは、いくつかの理由から素晴らしい経験ではありません。第一に、ユーザーは自分のアドレスが中央集権的な取引所や他のプラットフォームでブラックリストに載ることをそれなりに懸念します。第二に、トルネードキャッシュのようなサービスとやりとりするユーザーエクスペリエンスは、ユーザーフレンドリーではなく、本当に高度なスキルを持つユーザーのためだけのものです。

ステガノグラフィックアドレスは、プライベートな銀行口座で当たり前のように利用されているものと同様のレベルのプライバシーをユーザーに提供し、それを理解しやすい方法で実現します。さらに、ステルスアドレスに関する技術革新は、複数の管轄区域におけるマネーロンダリング防止規制に準拠する方法でこれを実現できることを意味します。

プライバシーに対するユーザーのニーズ

WebおよびWeb3のユーザーのプライバシーに対する態度に関する研究は広範囲に及ぶものではありませんが、Webで検索したところ、以下のような研究が見つかりました。

1. 2022 年に実施され、Simin Ghesmati らによって User-perceived privacy in blockchainと題された論文で、「回答者の半数は、取引上のプライバシーが非常に重要であると回答した」と述べています。この研究はビットコインにより関連しているが、イーサのユーザーも同様の態度を持っているかもしれない。しかし、この研究はサンプル数が比較的少なかった（14人）。

2. Frontiersに掲載された2022年のPolitical, economic, and governanceブロックチェーンユーザーの態度は、3,710人の暗号ユーザーを調査した、より包括的な研究である。その結果、回答者の約4分の1が、プライバシーは"ブロックチェーンと暗号通貨において最も重要な機能"であると回答した。

1. プライバシーに対する一般的な態度について、コンセンシスはConsensysは、Web3-and-crypto-global-survey-2023#02-data-privacy">Web3 and crypto global survey 2023という調査を発表しました。この調査では、インターネットだけでなく、ウェブに関連するさまざまなトピックについて、15カ国の15,158人を対象にオンライン調査が行われました。暗号化だけではないウェブ関連の話題調査によると、回答者の83パーセントがデータプライバシーは重要だと考えている一方で、現在のインターネットサービスにデータや個人情報を任せていると答えたのは45パーセントにとどまった。

2. 2023年4月に発表された調査では、回答者の9％が「匿名性/プライバシーへの欲求」を暗号通貨に投資する理由として挙げていることが強調されています。「を暗号通貨に投資する理由として挙げている。="" align-=""> Stealth Trading Protocol Adoption

   Railgunの使用率には目を見張るものがあり、プロトコルの使用は時間の経過とともに着実に増加しているようです。2024 年 11 月現在、総価値ロック (TVL) で 7000 万ドル以上、取引量で 20 億ドルに達しています。"text-align: center;">TVL ($) Railgun on the main EtherNet - Source: Railgun - DefiLlama

   Umbraの利用者数（ENSへの暗号アドレスの登録者数）も着実に増加しており、2024年11月時点で77,000人に近づいています:

   

   Umbra累積登録数（チェーン間） - 出典：dune.com

   イーサリアムで最も広く知られている（そして現在は残念ながら悪名高い）プライバシープロトコルであるトルネードキャッシュを見てみるとは、契約アドレスが技術的にはOFACのSDNリストに載っているにもかかわらず、まだ多用されていることがわかります。

   下のグラフは、トルネードキャッシュのTVLを経時的に示しています。2021年10月頃のピークから、TVLの最初の大きな下落は暗号市場の全般的な売り越しと一致し、2番目の大きな下落は2022年8月に発生し、これはOFACがトルネードキャッシュをSDNリストに加えたことに対応しています。3回目の大きな下落は、OFACによる2022年11月の再指定に対応する。しかし、それ以降、制裁にもかかわらず、トルネードキャッシュの利用は着実に増加し、TVLは6億ドルに近づいている。これは、イーサにおける基本的な取引プライバシーの必要性を示す強力な証拠です。

   

   < span style="font-size: center;">TVL (USD) メインイーサネット上のトルネードキャッシュ - 出典：トルネードキャッシュ - DefiLlama

   この研究では、EVMチェーンで現在生産されている4つの主なソリューションを特定します。

3. Umbra

4. Labyrinth

5. Railgun

FluidkeyとUmbraはイーサリアム標準に基づいています。

• ERC-5564: Hidden Address Protocol

  ERC-6538: Steganographic Metaddress Registration

Labyrinth と Railgun は、zerocashプロトコル (zcashもベースになっている) に基づいており、ユーザーの預金を保護されたプールとして使用します。チケット」という概念は、基本的に暗号化された価値の表現であり、プライベートな取引を可能にする。各チケットは、隠された価値、所有者キー、および詳細を明らかにすることなく所有権を確認するためにzk-SNARKを使用してチケット内の価値を転送する一意の番号（無効化子）で構成されています。チケットが使用されると、二重使用を防ぐためにその無効化装置が明らかにされ、一方、新しいチケットが受信者のために作成され、保護プール内のUTXOシステムが形成されます。

高度なレベルでは、ステガノグラフィーの理論的根拠は、第三者が存在しないアドレスに資金を送ることができ、意図された受信者がそのアドレスを見つけて管理できる（つまり、その後に資金を使うことができる）ということです。

erk-5564標準は、受信者がステガノグラフィメタアドレスを公開できるメカニズムを規定しており、そこから新しいイーサアドレスを導き出すことができます。受信者に資金を送りたい人は、ステガノグラフィックメタアドレスから新しいアドレスを生成し、受信者が直接通信することなくその資金を知ることができます。すべてのステガノグラフィック・アドレスの実装は、この基本的な前提に基づいています。

ステガノグラフィーの仕組み

ステガノグラフィーのメタアドレスは、基本的に「spend key」と「view key」と呼ばれる2つの圧縮された公開鍵の連結です。暗号化メタアドレスは、「st:」接頭辞を持つEIP-3770チェーン固有のアドレス形式を使用します。以下はステガノグラフィック・アドレスの例です：

st:eth.0x036ffa94a70a5b9608aca693e12da815fe0295f3739c7b22b0284c6d85c464ba4a02c0521b6fe31714b2ca0efa159402574355b754e0b50406b0b5fb33128eec3507

簡略化のため、この暗号アドレスは通常のイーサアドレス（したがってENS）と関連付けることができ、暗号アドレスの所有者への送金が簡単になります。資金を送るために、送信者は上記のアドレスを解決し、EIP-5564標準を使用して一時的な公開鍵を作成し、そこからステガノグラフィック・アドレスを導き出す。送信者は、通常、すべての暗号アドレス受信者のイベントをリッスンするシング ルトンコントラクトを介して、新しい暗号アドレスに資金を送信する。このコントラクトは、受信者がサブスクライブできる「アナウンスメント」イ ベントを発行する。アナウンスイベントが送信されるたびに、受信者はアナウンスに含まれる一時的な公開鍵をチェックし、自分の閲覧中の秘密鍵と組み合わせて、ステガノグラフィに送られた資金を使う余裕があるかどうかを判断する。もしそうなら、彼らが使っている財布/クライアントは、隠されたアドレスと対応する資金を記憶し、ユーザーの表示残高に追加する。実際にこれらの資金を使うには、非公開の支出キーを使って取引に署名します。

次の図は、このプロセスの概要をより明確に示しています。



このプロセスは完全に非対話的であることを覚えておいてください。つまり、送信者と受信者の間に直接的な通信がないことを意味します。

しかし、これが機能するためには、受信者が送信者に自分の隠されたアドレスを伝えなければなりません。これを実現する1つの方法は、eip-6538 steganographic address registryを使用することです。これは、ユーザーが暗号化メタアドレスを、送信者が検索できる通常のイーサアドレスに登録できるようにするシングルケース契約です。これにより、送信者はENSから通常のアドレスを解析し、関連する暗号化メタアドレスをレジストリから調べることができます。

この方式は、送信者と受信者の間のリンクを断ち、両者が全世界に知られるのを避けることを可能にします。

• 受取人が資金を使おうとするとき、送金先の人物は、その資金が元の送金者から送られたものであることを知ることになります（つまり、送金先の住所や、以前にその住所に資金を送った人物を知ることができます）。つまり、送金の連鎖は無傷で追跡可能なままであるが、問題の受取人にのみ関係する（受取人が知っている非表示のアドレスに送金するようなことをしない限り）。

• 上記の問題のもう1つの副作用は、最適なプライバシーを維持するために、ユーザーは、実際に必要になるまで、最初に送った隠しアドレスに資金を保持する必要があるかもしれないということです。アドレスに統合する代わりに、実際に必要になるまで、最初に送った隠しアドレスに資金を保管しておく必要があるかもしれないということである。これは、送金したい金額を他の複数のアドレスからの資金の組み合わせから取り出す必要があるため、アドレスを記憶し、その後それらのアドレスに資金を費やす追加的なオーバーヘッドを意味します。

• そのアドレスから資金を送金するためには、受取人はガス代を支払うためにそのアドレスにいくらかのETHを提供する必要があります。これはステガノグラフィックアドレスで知られている問題であり、多くの実装がeip-4337とペイパーをサポートしている理由の1つです。

• ステガノグラフィックアドレススキームの欠点の1つは、受信者がアナウンスメントイベントをブロックチェーンで監視し、資金を受け取ったかどうかを判断するために各アナウンスメントをチェックする必要があることです。これは、特に複数のネットワークから資金を受け取る場合、ほとんどのユーザーにとって明らかに非現実的なオーバーヘッドである。このプロセスをより効率的にするために、標準は「ビュータグ」を規定している。ビュータグとは、共有秘密から導き出されたハッシュを切り詰めたもので、明らかに送信を意図していないトランザクションを迅速に破棄するために使用できる。ビュータグを使用することで、デスクトップでのパフォーマンスはそれほど悪くはないが、モバイルデバイスではより顕著になる可能性がある。パフォーマンスの低下が本当に顕著になるのは、ウォレットが回復しているときだけで、その場合、ウォレットはオンチェーンコントラクトがデプロイされてからすべてのアドレスをスキャンする必要があり、非常に時間がかかります。

• この問題に対処するために、ユーザーは信頼できるサードパーティとプライベートな閲覧キーを共有するオプションがあります。この第三者サービスは、さまざまなネットワークを監視し、資金を受け取ったときにユーザーに通知することができる。もちろん、これにはトレードオフがあります。サードパーティはユーザーの資金を実際に使うことはできませんが（彼らはプライベートな支出キーを持っていません）、特定の受取人に送られたすべての資金を見ることができます。

• 標準的なステガノグラフィックアドレスプロトコルであるERC-5564は、プライバシーを保持した送金を促進するように設計されていますが、非金銭的なユースケース（例えば、任意のスマートコントラクト関数を呼び出す）は、より多くのエンジニアリングを必要とし、多くの場合、実装に固有です。

比較マトリックス

この記事で検討した 4 つの隠しアドレス実装を、さまざまな方法で比較することができます。すべての実装にはニュアンスとトレードオフがありますが、おそらく最も重要なポイントは、トレーサビリティと値の難読化についてです。

FluidkeyとUmbraの両方が、受取人のアイデンティティへのリンクを断ち切りながら、標準的なイーサアドレスに資金を送金することを可能にする一方で、それらは依然として取引の追跡可能性を保持しており、ステガノグラフィックアドレスの取引履歴を調査する誰にでも送信者が見えることを意味します。つまり、ステガノグラフィック・アドレスの取引履歴を調べれば、送金者は誰でもわかるということだ。つまり、隠されたアドレスで資金を受け取った場合、その資金を送金しようと決めた相手には、その資金がどこから来たのかがわかるということだ。RailgunとLabyrinthは送信者だけでなく、送信された値も隠しますが、その代償として、通常のイーサリアムアドレスへの通常のトランザクションとしてではなく、単一のコントラクト内ですべてが発生します。

下のグラフは、この記事で取り上げたプロトコルが、これら2つの重要な次元で互いにどのように比較されるかを示しています。

これらの違いをさらに詳しく調べるために、6つの重要な次元における4つの主要なステガノグラフィックアドレスプロトコルの比較マトリックスを以下に示します：

1. Complete end-to-end privacy (送信者と受信者のみが支払い情報を見る)

2. 。前方秘匿。ステガノグラフィーを通じて受け取った資金は、第二の受信者が資金の出所を見ることを許しません

3. erk-5564およびerc-6538標準に準拠

4. サードパーティのdappsとの統合を可能にする、拡張可能なモジュラーアーキテクチャの実装

5. 開発者が統合するために使用できるSDKを提供するかどうかの実装

6. 開発者が統合するために使用できるSDKを提供するかどうかの実装。

7. 開発者が統合するために使用できるSDKを提供しているか

8. ソリューションは、何らかの匿名化解除サポートを通じてコンプライアンスを提供しているか。

9. 設計は、転送される金額/価値の難読化をサポートしていますか？



次のセクションでは、その他のニュアンスや違いを詳しく説明します。各実装には、ユースケースに影響を与えるかどうかという興味深いニュアンスがあります。

例えば：Fluidkeyでは：すべてのトランザクションはチェーン上の隠されたアドレスに直接行きますが、Umbra***では：** ETHだけがチェーン上の隠されたアドレスに行き、トークンは中央のコントラクトに行きます。

クローキング・アドレスの実装を深く掘り下げる

Fluidkey

Fluidkeyはerk-5564の実装であり、ユーザーはETHとerk-5564を送受信することができます、ETHとerk-20トークンの交換とブリッジを可能にする。この記事を書いている時点では、FluidkeyはBase、Optimism、Arbitrum、Polygon、Gnosis、そしてメインのEtherネットワークにデプロイされています。

ユーザーはウェブユーザーインターフェースを介してFluidkeyとやり取りします。自分のウォレットで最初にログインするとき、彼らはキー生成メッセージに署名し、そこから閲覧キーと支出キーを導き出します。これらの同じキーは、ユーザーがアプリに入るたびに同じ方法で再生成されます。

Fluidkeyは、いくつかの点で他の実装と異なる。1つの違いは、ユーザーが自分のプライベートな閲覧キーをFluidkey（これは実際にはBIP-32派生ノードである）と共有することです。ノードである)。これにより、Fluidkeyはユーザーのために隠蔽されたアドレスを生成し、それらのアドレスで支払いを受けたときにユーザーに通知することができる。しかし、これはFluidkeyがユーザーの受信取引と残高を見る能力を持つことも意味します。しかし、Fluidkeyは完全な自己管理のままです。

Fluidkeyの設計のもう1つの興味深い点は、新しいクロークされたアドレスごとにスマートコントラクトのアカウントを展開することです。これは、クロークされたアドレスから資金調達された資金が使用される場合にのみ発生します。スマートアカウントは1/1のセキュアなアカウントで、ガススポンサーなどのオペレーションを可能にし、様々なクロークドアドレスの管理を容易にします。これについての詳細は、技術プレゼンテーションをご覧ください。

Fluidkeyはユーザーアカウントの可視性を保持しており、コンプライアンス上有利になる可能性がありますが、Fluidkeyが将来起こりうる法執行機関の要求にどのように対処するかの正確な枠組みは公表されていません。Fluidkeyはスイスにあり、現地の法律の適用を受けますが、データ保護法は非常に明確で強力です。データを共有するには非常に明確な理由が必要であり、この問題は裁判所の審査の対象となります（ENSオフチェーンリゾルバー（erc-3668：CCIP読み取り）を使用してクロークされたアドレスを返します。オフライン・リゾルバがクエリされるたびに、対応するENS名に対して新しいステガノグラフィック・アドレスを生成して返す。生成されたステガノグラフィックアドレスは、ENS名まで遡ることができないため、ユーザーは隠蔽されたアドレスのプライバシーを保持したまま、人間が読める単一のENS名を持つことができるため、これは素晴らしい機能です。

費用

Fluidkeyは無料で利用でき、料金はかかりません。お金を使いたい場合は、資金提供されたアドレスごとにSafe契約を展開する費用がかかります。しかし、メインネットワークでは比較的高価ですが、L2では、複数のクロークされたアドレスを1つの転送に組み合わせた場合でも、これは実際には無視できるほど小さく、通常は1セント未満です。

彼らはまた、Safeの配備を通じてガスのスポンサーシップを行うことができます - 彼らはガスのコストを計算し、それがトークンであっても、ユーザーの残高から差し引きます - この場合、フォワーダーはユーザーに代わってSafeを配備し、トークンを転送します。がトークンを送金します。

Safe は、トークンを転送します。"">Umbra Cash

Umbraはスコープリフトの実装である。ユーザーがUmbraアプリにログインすると、セットアップ段階を経て、メッセージに署名し、そこから使用・閲覧キーと対応する暗号メタ・アドレスを導き出す。そして、この暗号メタ・アドレスを自分のメイン・ウォレット・アドレスのオンチェーン・レジストリに登録する。ここがFluidkeyと実装が異なる点です。

Umbraのerc-5564の実装は、ユーザーの鍵にアクセスできないため、仕様に最も近い。これは、Umbra（または他の誰）がユーザーの資金を見ることができないことを意味しますが、資金を受け取るために、送信者は暗号メタアドレスを生成するerk-5564互換ウォレット（またはUmbraアプリ）を持っている必要があることを意味します。

ユーザーに資金を送りたい場合、通常はUmbraアプリを使う。基本的に、UmbraアプリはENS名/ウォレットアドレスに登録された暗号メタアドレスを探し、暗号アドレスを生成する。受信者はUmbraアプリにログインし、前回のログイン以降にその受信者が所有する隠しアドレスに送られた資金をスキャンすることができる。巧みなキャッシュのおかげで、1週間のスキャンにかかる時間はわずか10～15秒のようですが、ユーザーはスキャン範囲を狭めるためにブロック範囲を指定することもできます。umbra v2では、ビュータグの使用が追加され、プロセスがさらに高速化される予定です。

フォワーダー

先ほど述べたクロークドアドレスの問題の1つは、受信者がクロークドアドレスに送られた資金を使うためには、そのアドレスがETHや、取引をカバーするために必要なガストークンを持っている必要があるということです。ほとんどのネットワークでは、クロークされたアドレスが最初にETHを受け取る場合、これは通常問題にはなりません。しかし、クロークされたアドレスがerk-20トークンやNFTを受け取る場合、ETHでアドレスにガスを供給する行為は、そのアドレスをユーザーの他のアドレスと関連付ける可能性があり、結果としてプライバシーが失われます。

これを回避するために、Umbraはフォワーダーを含む構造を使用しています。ETH以外の資産がUmbraユーザーに送られるとき、それは実際に、隠されたアドレスに直接ではなく、特別な契約に送られます。ユーザーは、（Umbraアプリから）メタトランザクションをUmbraのフォワーダーに送ることで、隠しアドレスに送られた資金を使うことができ、フォワーダーはユーザーに代わってスマートコントラクトから資金を送金する。フォワーダーは、ガス料金のコストをカバーするためにトークン数を差し引きます。

手数料

Umbra契約はまた、スパムを阻止するために、低取引手数料のネットワークで資金を送金する際に少額の手数料を請求します。その根拠は、スパムは関連する取引を特定するために取引をスキャンするコストを増加させるため、これは許容できるトレードオフと考えられているからです。

サポートされるネットワーク

Umbraは現在、メインのイーサリアムネットワークのほか、Optimism、Polygon、Gnosis Chain、Arbitrumにデプロイされています。

Umbraのレジストリ契約は興味深い設計になっています。デプロイ方法はcreate2と標準的なcreate2デプロイヤーを使用し、スマートコントラクトアドレスはどのネットワークでも同じです。つまり、あるネットワーク上にコントラクトが存在する場合、クライアントはそれが正しいコントラクトであることを確認できる。クライアントはネットワークを追加するように設定でき、誰でもどのネットワークにもデプロイできる。彼らはバイトコードを正規化し、コントラクトに所有者を持たせないことで、誰でも登録やアナウンスのコントラクトを許可なくどのチェーンにも展開できるようにしている。

Umbra v2

Scopelift は現在、Umbraバージョン2に取り組んでおり、新しいトークン標準や非決済ユースケースをサポートするためにコアコントラクトを拡張できる新しいモジュラーアーキテクチャを導入しています。この新しいアーキテクチャを使用することで、サードパーティの開発者は、erk-1155、erk-7621、erk-4337の支払者のサポートなど、あらゆるトークン標準のモジュールを構築することができます。現在、Umbraのコアコントラクトは、ETHとerk-20の2つのシナリオをサポートしています。

Umbraのコア契約は、ETHとerk-20の2つのシナリオをサポートしています。"">Labyrinth

Labyrinthは、eip-5564 + eip6538をベースとしたプロトコルではなく、代わりにゼロ知識証明を使って匿名性を追加したプロトコルです。Labyrinthのホワイトペーパーでは、これを「zkFi」ミドルウェアと表現しています。「zkFiは、コンプライアンスを組み込んだプライバシーミドルウェアとして機能するパッケージソリューションを提供します」。ビルトイン・コンプライアンスとは、ラビリンスの「選択的匿名化解除」のことで、透明性とオープン性を保ちながら、特定の認可された当事者（インターポールなどの法的機関）に対して特定のトランザクションを匿名化解除できるようにする複雑なソリューションである。

Labyrinthが使用するコアスマートコントラクトには、マルチトランザクションおよびマルチアセットプールが含まれており、ユーザーは単一のトランザクションで複数の資産を取引することができます。アセットを使うために、ユーザーはネットワークをスキャンして暗号化されたチケットデータを取得し、チケットを復号化して、使いたいアセットをフィルタリングします。その後、ユーザーは取引と、使いたい取引に関連するチケットの署名キーを含むZKPを作成します。

ラビリンスのコアコントラクトの一部には、基本的に外部コントラクトのプロキシであるモジュラーエージェントコントラクトとのインターフェイスである変換コントラクトが含まれています。そのため、例えば、ユーザーがLabyrinthを使ってUniswapとやり取りしたい場合、ユーザーはUniswapのプロキシコントラクトを通して、Uniswapプールに交換オペレーションを呼び出すために変換コントラクトを使用するトランザクションを構築することになります。

ラビリンスのzkFiプロトコルは、残高と転送を追跡するために「チケット」を使用します。チケットは基本的に、資産の量とそれが属するアドレスを記述するデータ構造です。クライアントはチケットを再構築するために必要な情報を保存し、この情報を使ってアセットを使用する。チケットへのコミットメント（アセットID、所有者、価値のハッシュ）は、チェーン上のメルクルツリーに保存されます。実際には、ラビリンスはチケット用とルートアドレス用の2つのメルクルツリーを使用します。

ノートのデータ構造には以下が含まれます:

• assetId: このノートが表すアセット（ETH、WBTC、MATICなど）の識別子。

• value：債券が表す価値または金額。

• leafIndex：このノートが挿入されるコミットメントメルケルツリーのリーフノードのインデックス。

• blinding：ランダムな保護係数。

• rootAddress：支出権限を持つユーザーのルートアドレス。

• revoker: 選択されたリボーカーの公開鍵ポイント。

上記のデータ構造には、アセットの所有者への参照が含まれていないことにお気づきでしょうか。ノートのMerkleツリーに記録されるコミットメントは、アセットID、値、所有者のハッシュなので、これは奇妙なことです。実際には、所有者はルートアドレス、リボーカー、ランダムな保護係数から計算されるため、外部のオブザーバーにとっては、所有者は実際には新しいトランザクションごとに生成される新しいアドレスです。

プロテクションプール

Labyrinthで特に興味深いのは、伝統的なステガノグラフィックアドレスベースのプロトコルとは少し異なりますが、アセットプールが実際にはプロテクションプールであり、ノートの概念を利用して、トランザクションの前方秘匿性を提供する一種のマスクされたUTXOプールを作成することです。eip-5564の実装では、ユーザーが資金を送金する相手は、その資金がどこから来たかを見ることができることを思い出してください。言い換えると、アリスは隠されたアドレスでボブに支払い、ボブはチャーリーに支払うので、チャーリーはボブがもともとアリスからこれらの資金を受け取ったことを見ることができます。

この保護プールがどのように機能するかを理解するためには、プロトコル内部で資金がどのように移動するかを見る必要があります：

保護プール内のユーザーの残高は、対応する資産のノートの合計です。これらのノートを使うには、ユーザーはそれらのノートの「無効識別子」を明らかにする必要があります。無効フラグはノートと一意に関連付けられ、ノートが使用されると、二重消費を防ぐために無効フラグが立てられ、使用されたノートに基づいて新しいノートが作成されます。同じアセットの複数のノートを統合したり、複数の新しいノートを作成することができます。無効マーカーは（?,?,?) のハッシュである。 はノート・メルクルツリーにおけるノート・コミットメントのインデックス、? はコミットメント、? はランダム要素で、保護因子としても知られています。

ステガノグラフィック送金の受取人は、eip-5564と同じ方法で送金を認識します。コア契約から発信されるイベントを聞き、資金を送ることができるステガノグラフィックアドレスを決定し、それらのアドレスをローカルに記録します。また、アプリケーションのライフサイクル中に、ビュータグと非同期のローカルキャッシュと同期メモを利用することで、入ってくる資金を特定するスピードも向上します。

着信資金を発見するプロセスを高速化するための研究が進行中です。Request for Proposals: Note Discovery Protocol - Aztec.

お金を使うという点では、ユーザーはzkプルーフを生成する必要があります。これはerk-6654の実装とは異なり、基本的に通常のイーサアドレスです。証明の生成には互換性のあるウォレットが必要で、ミッドレンジのアンドロイドデバイスで約20秒と、比較的良好なパフォーマンスを持っています。

パッケージャーとコンバーター

Labyrinthは、ステガノグラフィーのペインポイントのいくつかに対処する素晴らしい機能をいくつか提供しています。Labyrinthのコアコントラクトに送信されるトランザクションは、erk-4337パッケージャを通してユーザーアクションとして送信されます。この設定により、ユーザーは erc-4337 ペイジャーを利用してガス代金を支払うことができるため、取引に ETH やガストークンを必要とせずにノートを使用することができ、プライバシーのレイヤーが追加されます。唯一の例外は最初の入金で、これはユーザーアクションとして提出されない。erk-4337ペイヤーを使うもう一つの利点は、たとえそれがerk-20トークンであっても、譲渡された資産を通じてガス代を支払うことができることであり、そのためLabyrinthはガス価格予測マシンAPIを公開している。

Labyrinthのもう一つの非常に素晴らしい特徴は、コンバーターコントラクトがサードパーティの分散型アプリケーションのプロキシとして機能することを可能にする、そのモジュラーアーキテクチャである。コンバーターコントラクトは、サードパーティの分散型アプリケーションのプロキシとして機能する。これにより、ユーザーはステガノグラフィーを使って資金を送金できるだけでなく、サードパーティの分散型アプリケーション（Uniswap、Aave、LidoなどのDEXなど）とやりとりすることもできる。これらのプロキシ「コンバーター」コントラクトは、基本的に、あるアセットを受け取り、あるアセットを出力する関数を実装し、その基礎となるロジックはサードパーティのコントラクトに存在します。

コンプライアンス・ソリューション

ラビリンスは、選択的匿名解除（SeDe）と呼ばれるフレームワークを通じて、コンプライアンスと規制遵守を保証します。

ノートのデータ構造に「リボーカー」というフィールドがあることを思い出してください。リボーカーは、匿名化解除プロセスを開始できる特定のエンティティのアドレスです。ユーザーは、定義済みのリストから少なくとも1つのリボーカーを選択する必要があります。リボケーターは、潜在的に違法または不適切な活動を特定することだけに責任を負うわけではありませんが、法執行機関からの要請に応えることができます。

リボケーターには、トランザクションの匿名化を直接解除する個別の能力はありませんが、匿名化解除リクエストを開始する責任はあります。これらの要求は、プライバシーとコンプライアンスを監督する団体の委員会であるガーディアンに公開される。ガーディアンは、非匿名化取引を許可するかどうかを投票によって決定しなければならない。ガーディアンが定足数を満たして賛成票を投じれば、リボーカーは取引データを復号化することができ、それによって取引の連鎖が完全に匿名化解除されるまで、問題の取引を以前の取引とリンクさせることができる。

このシステムにより、一連のチェック・アンド・バランスが構築される。保護者が単独で取引データの公開を決定することはできないし、たとえ共謀したとしても、リボーカーなしでは何もできず、リボーカーだけでは保護者の多数決があっても何もできないからだ。

Railgun

RAILGUNは、Ether、Coin Smartchain、Polygon、Arbitrumで展開されるステガノグラフィー・トランザクション・プライバシーシステムです。このプロトコルはLabyrinthと似ている部分があり、notesに基づいている。notesはUTXOセットを形成するためにメルクルツリーに約束として格納される。これは、ノートの所有者だけがその無効な識別子を計算できることを意味し、多くの場合、支出キーとMerkleツリー内のノートのインデックスのハッシュに基づいて生成される。

Railgunの暗号メタアドレスは、eip-5564に似た「0zk」接頭辞を使用しており、これはパブリックビューキーとパブリック支出キーの組み合わせです。しかし、RailgunはECDSAとsecp256k1の代わりにBabyJubJub曲線上のEd25519キーを使用します。 eip-5564のように、ユーザーはRailgunコントラクト内のすべての発信イベントをスキャンし、自分のウォレットへの転送を表すイベントを決定するために自分のビューキーを使用します。

Railgunはブロードキャスターのネットワークを使用します。ブロードキャスターは、ユーザーのメタトランザクションを受信し、実際のトランザクションを適切なブロックチェーンにブロードキャストし、ユーザーに代わってガス料金を支払います。ユーザーからブロードキャスターへのトランザクションは暗号化され、Wakuプロトコルを使用して通信され、エンドユーザーの匿名性が保護される。

Railgunは、単純な送金を超える機能を提供するために、外部のスマートコントラクトと相互作用できるモジュラーアーキテクチャを備えている。これはAdaptRelayコントラクトを通じて行われ、外部コントラクトとやり取りする前後にトークンの保護と保護を解除します。例えば、トークンAの保護を解除し、AMM上でトークンBを交換し、トークンBを保護して元の所有者に戻します。

バージョン3では、Railgunはeip-4337を活用し、従来のメタトランザクションをサポートする予定です。彼らは、Railgunのためにeip-4337 useropメモリの専用プールを維持することによって、独立したリゾルバがブロードキャスターとして参加できるようにしたいと考えています。彼らは現在、この問題を研究し、エッジケースとそれを解決する方法を特定するためにUmbraと協力しています。

手数料

Railgunプロトコルは入出金に0.25%を課金します。これらの手数料はDAOリポジトリに送られ、これらの手数料はRAILガバナンストークンの質権者に長期的に支払われます。入出金のための0.25％の手数料に加えて、放送局は通常、実際のオンチェーン取引のためのガス料金の約10％である独自の手数料を請求します。

ガバナンス

Railgunには、どのような提案でも提出できるガバナンスシステムがあり、コア契約（財政とガバナンスの契約を含む）の変更を進めるには、DAOによって提案されなければなりません。珍しいことに、Railgunの異なるインスタンスは独自のガバナンスを持っている。例えば、RailgunはEther、Polygon、CoinAnchorで別々のガバナンスシステムとトークンを持っています。

SDKとクックブック

Railgunは、ウォレットまたはDApp開発者がRailgunをサポートする暗号アドレス機能を構築するために使用できる、包括的で十分に文書化されたSDKを提供しており、コミュニティが維持するCryptographic Addressing (CAP)システムがあります。href="https://github.com/Railgun-Community/cookbook">クックブックは、ユーザーが自分のDAppsでRailgunを使用できるように、DApps開発者がRailgun用のモジュールを提供することを可能にする「レシピ」を提供します。RailgunはDAppと相互作用します。例えば、開発者はRailgunのトークン残高を持つユーザーが個人的にトークンを交換できるようにするDEXのレシピを書くことができます。

RailGun v3

Railgunの次のイテレーションでは、取引コストが50%から60%削減されます。バージョン3の他の変更点は、専用メモリプールを介したeip-4337 useropsのサポートです。さらにv3では、ソルバーが最良の実行を競い合うことを可能にする、インテント・ベースのアーキテクチャをサポートする予定です。現在、CowSwapと協力して、ソルバーが資金にアクセスできるようにするためにプリフックとポストフックを使用する計画を進めています。

Railgunコネクト

提案の中で最も興味深い変更は、間違いなくRailgunコネクトと呼ばれるツールです。Railgunとの統合を明示的に提供するカスタムモジュールを介してこれらのDAppsをフロントエンドに接続する必要はありません。

Railgun Connectは、実際にHardHatのローカルレプリカチェーンの状態を使用し、ローカルHardHatバージョンチェーンを持つRPCエンドポイントを持つDAppsに独自のweb3プロバイダを注入するブラウザ拡張機能です。これにより、通常通りDAppコントラクトと対話し、トランザクションを記録し、それをバッチ処理してスナーク証明を作成し、チェーン上の実際のRailgunコントラクトに送信することができます。この説明は少し単純化されていますが、一般的なアイデアは伝わります。これにより、基本的にほぼすべてのDAppと対話することができます（チェーン外の追加処理を必要とするDAppについては、いくつかのエッジケースがあるかもしれません）。チェーンの状態をローカルに保存することはリソース集約的な操作であることに注意してください。しかし、一度それが完了すれば、通常のウォレットを使用するのと何ら変わることなく、Railgunの暗号アドレスを使用してDAppsとやりとりすることができます。

結論

イーサネット プロトコルでステガノグラフィック アドレスを確立するための興味深い提案が多数あります。たとえば、インコは、通常のerk-20契約をカプセル化し、すべての残高を暗号化するerk-20「ラッパー」の概念を使用しています。送金と承認は、完全に同形暗号化された暗号化された状態で実行される。Incoは現在、独自のネットワーク上にのみ存在する事前コンパイルに依存しているが、将来的にはイーサリアムに移行する可能性がある。

EIP-7503：ゼロ知識ワームホールと呼ばれる別の提案もあり、これは「バーンイン証明」として知られる設計に基づいています。これは、「バーンイン証明」として知られる設計に基づくものです。「バーンイン証明」は、おそらくEVMのアップデートを必要とするため、トークン・レベルでは、eip-7503を特別にサポートするerk-20設計を使用してのみ実装可能です（または、L2がEVMオペコードのサポートを追加することを決定した場合）。

Aztecは、おそらく現在利用可能な最も洗練されたプライバシー技術ですが、それを使用するために、ユーザーは資金をAztecにブリッジする必要があります。しかし、基本的なトランザクションのプライバシーに対する需要がイーサユーザーの間で高まるのであれば、Aztecは独自の価値を提案し、DAppsやユーザーがデフォルトでプライバシーを提供するプラットフォームに移行する中で、非常に価値のあるL2になるかもしれません。

同様に、Intmaxはプライバシー中心のイーサL2（Plasma設計に基づく）であり、コンプライアンス規制の側面もあります。Intmaxは送金にプライバシーを提供することに限界があるが、EVMスマートコントラクト運用にはそれがない。しかし、Aztecとは異なり、スマートコントラクトはSolidityで書くことができます。

ウォレットのサポート

ステルスアドレスプロトコルの採用が増加しているのは良い兆候ですが、まだ多くの課題があります。最も重要な課題は、主流のイーサリアムウォレットでまだ完全にサポートされていないことです（少なくともまだ）。主流のウォレットは、ステガノグラフィックアドレスのサポートを提供する際にいくつかの選択をする必要があるかもしれません。

• 1 つの実装に対して意見集約的なサポートを提供するのか、複数のプロトコルにまたがるある種の包括的なアグリゲーターを構築して維持するのか。後者は開発とメンテナンスの面でコストがかかるかもしれません。

• 規制上の配慮はあるのでしょうか。また、（Labyrinthの場合のように）選択的匿名解除の範囲と仕組みについて、立場を取る必要があるのでしょうか。

• アドレスのクローキングには、（Fluidkeyを除いて）レジストリ契約を介したオンチェーンコンポーネントが必要であり、これは各EVMネットワークがウォレットによって明示的にバックアップされなければならないことを意味します（ただし、Umbraの設計はレジストリのライセンスフリーの展開を容易にします）。

• 隠されたアドレスは、Etherscanのようなブロック検出器との既存の統合を複雑にします。例えば、"View on detector "ボタンは、ウォレットが集約された残高を表示するため、クローキングされたメタアドレスでは機能しません。この問題は送金にも存在する可能性があります。これらのエッジケースは慎重に考慮する必要があります。

• 基礎となる実装次第では、ユーザーは特定のDAppsセット、つまり基礎となるプロトコルでサポートされているDAppsだけでステガノグラフィーを効果的に使用できます。しかし、全てのDAppsがサポートされるわけではなく、ユーザーは何らかの方法で通知される必要があります。これはeip-5506では比較的簡単ですが、ウォレットのユーザーエクスペリエンスに忍び込むかもしれない複雑さとエッジケースがまだあるでしょう。

劣悪なユーザープライバシー衛生を防ぐことにも改善の余地があります。Anonymity Analysis of Umbra Stealth Address Scheme on Ethereum"をご覧ください。著者は、メインイーサネットワーク上の不可視トランザクションの48.5%を匿名化することに成功しました。彼らが使用したヒューリスティックはプロトコルとは関係なく、プライバシー衛生に関わるものであった。例えば、ユーザーは自分が管理する見えないアドレスに資金を送信し、その資金を元の送信アドレスに送り返すことで、トレーサビリティが破られたと誤って仮定していた。全体として、著者らは、ステルスアドレス取引の匿名化を解除するために使用できる6つの異なるヒューリスティックを特定し、これらはすべて、主にベストプラクティスに従わないことに基づいている。しかし、これらは対処すべき重要なユーザーエクスペリエンスの問題です。

全体として、私はイーサにおける不可視アドレスとプライバシーにはかなり強気です。私たちはかなり印象的な進歩を遂げ、非常に修正可能な課題をいくつか発見したと思います。私は、主流のウォレットが不可視アドレスのサポートを提供する方法を見つけることで、ユーザーが期待し、それに値する通常のレベルのプライバシーでこれらのアドレスを簡単に使用できるようになると確信しています。

この投稿で紹介した4つのプロトコルを含め、不可視アドレスインフラの研究と構築に時間と労力を費やしてきたすべてのチームに感謝します。彼らの努力と粘り強さはイーサに大きな影響を与えるでしょう！